新《檔案法》背景下檔案數(shù)據(jù)安全治理的要求與路徑

郭若涵 楊波

摘要：隨著大數(shù)據(jù)時代的深入發(fā)展，檔案數(shù)據(jù)安全治理顯現(xiàn)出至關(guān)重要的現(xiàn)實意義。新《檔案法》為此提供了根本性的方向指引。在新《檔案法》背景下，檔案數(shù)據(jù)安全治理應(yīng)當(dāng)貫徹法規(guī)遵循、協(xié)同共治、分級管理等要求。同時，遵循如下實施路徑：以研制《電子檔案管理辦法》為契機(jī)，探索檔案治理與數(shù)據(jù)治理的制度銜接；以合作邏輯為主要行為邏輯，打造檔案數(shù)據(jù)安全治理生態(tài)圈；以分層治理引導(dǎo)業(yè)務(wù)模式，深化檔案數(shù)據(jù)分級分類管理。

關(guān)鍵詞：《檔案法》 檔案數(shù)據(jù) 安全治理

在“行行產(chǎn)生并貢獻(xiàn)數(shù)據(jù)、業(yè)業(yè)使用并受益于數(shù)據(jù)”的數(shù)據(jù)生態(tài)圖景之下，[1]檔案數(shù)據(jù)不可避免地成為檔案領(lǐng)域的核心關(guān)注對象。它是指“數(shù)據(jù)化的檔案信息及具備檔案性質(zhì)的數(shù)據(jù)記錄”，[2]屬于數(shù)據(jù)管理與檔案管理的交叉范疇?！丁笆奈濉比珖鴻n案事業(yè)發(fā)展規(guī)劃》明確將“檔案數(shù)據(jù)治理”列入重大研究課題，以加快“推動檔案全面納入國家大數(shù)據(jù)戰(zhàn)略”。[3]本文以此為關(guān)注點，重點論述新修訂的《中華人民共和國檔案法》（以下簡稱“新《檔案法》”）背景下檔案數(shù)據(jù)安全治理的核心要求與實施路徑，以期對相關(guān)實踐有所裨益。

一、檔案數(shù)據(jù)安全治理的必要性

隨著檔案數(shù)據(jù)化與數(shù)據(jù)檔案化的雙向推進(jìn)，檔案管理對象由“模擬態(tài)”向“數(shù)字態(tài)”“數(shù)據(jù)態(tài)”加速演化。[4]相較于傳統(tǒng)檔案資源，檔案數(shù)字資源因其所處環(huán)境的復(fù)雜性、對于技術(shù)的依賴性、內(nèi)容與載體的分離性等因素而面臨諸多安全風(fēng)險，檔案數(shù)據(jù)泄露、篡改、破壞、濫用、丟失等安全問題亟待受到重視。例如，國外某頂尖診療連鎖機(jī)構(gòu)，將數(shù)百萬客戶的檔案數(shù)據(jù)公開暴露于未受保護(hù)的云服務(wù)器長達(dá)一年之久?？蛻粜彰⑿詣e、電話號碼、郵箱地址、數(shù)字簽名等諸多個人信息遭遇泄露。[5]由此可見，檔案數(shù)據(jù)的安全與否與公眾權(quán)益、社會穩(wěn)定等息息相關(guān)。

在此背景下，檔案數(shù)據(jù)安全治理顯現(xiàn)出至關(guān)重要的現(xiàn)實意義，它旨在以治理手段確保檔案數(shù)據(jù)運行安全、存儲安全和利用安全。[6]縱向而言，檔案數(shù)據(jù)安全治理關(guān)涉整個數(shù)據(jù)生命周期安全，包括采集、傳輸、存儲、使用、交換（共享）、刪除（銷毀）等諸多環(huán)節(jié)；橫向而言，檔案數(shù)據(jù)安全治理需同時兼顧外來性威脅與內(nèi)生性風(fēng)險，前者主要包括軟件植入木馬、網(wǎng)絡(luò)爬蟲抓取等方式導(dǎo)致的數(shù)據(jù)竊取、盜用、泄露等現(xiàn)象，后者主要由內(nèi)部人員因私牟利、蓄意泄憤等因素所致。[7]新《檔案法》作為檔案領(lǐng)域的根本大法，24次提及“安全”一詞，足見其對于檔案安全的重視程度。基于對大數(shù)據(jù)時代向縱深發(fā)展的現(xiàn)實考量，新《檔案法》對檔案數(shù)據(jù)安全治理提出了相應(yīng)要求。

二、新《檔案法》背景下檔案數(shù)據(jù)安全治理的核心要求

（一）法規(guī)遵循：健全制度規(guī)范

為全面應(yīng)對檔案數(shù)據(jù)治理面臨的多重安全風(fēng)險，新《檔案法》要求，無論是檔案主管部門，還是檔案保管機(jī)構(gòu)，均應(yīng)將建章立制作為開展檔案數(shù)據(jù)安全治理的重要前提。

一方面，新《檔案法》第三十七條規(guī)定，國家檔案主管部門應(yīng)會同有關(guān)部門制定《電子檔案管理辦法》。《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）所稱的數(shù)據(jù)“是指任何以電子或者其他方式對信息的記錄”，所以電子檔案屬于重要的數(shù)據(jù)；同時對國家和社會有保存價值的數(shù)據(jù)，也屬于新《檔案法》所稱的檔案。因此，需要協(xié)調(diào)好新《檔案法》及其實施條例、《電子檔案管理辦法》等與《數(shù)據(jù)安全法》及其他數(shù)據(jù)法規(guī)的關(guān)系。

另一方面，新《檔案法》第十二條規(guī)定，各級各類單位應(yīng)建立檔案工作責(zé)任制，依法健全檔案管理制度。首先，應(yīng)基于“融入視角”開展頂層設(shè)計，將檔案數(shù)據(jù)安全治理納入全局戰(zhàn)略規(guī)劃；其次，要落實主體責(zé)任，建立檔案數(shù)據(jù)安全責(zé)任崗，劃定分管領(lǐng)導(dǎo)、管理人員、技術(shù)人員的專門職責(zé)，嚴(yán)控內(nèi)生性風(fēng)險；最后，應(yīng)借新《檔案法》出臺所帶來的制度“除舊更新”的東風(fēng)，結(jié)合機(jī)構(gòu)自身實踐情況，充分考量檔案數(shù)據(jù)所面臨的潛在威脅，完善其安全分級、保密管理、災(zāi)難響應(yīng)、監(jiān)控追蹤等相關(guān)制度。

（二）協(xié)同共治：鼓勵多元主體參與

治理的核心要義是多元主體協(xié)同共治。[8]新《檔案法》第一條明確“推進(jìn)國家治理體系和治理能力現(xiàn)代化”的立法目的，將檔案事業(yè)與國家治理大局緊密相連。檔案數(shù)據(jù)安全治理作為檔案事業(yè)的重要組成部分，亦需多元力量的有序參與。

新《檔案法》第十九條規(guī)定，無論何種類型的組織機(jī)構(gòu)都應(yīng)“建立健全檔案安全工作機(jī)制”，并注重檔案安全風(fēng)險管理與應(yīng)急處置能力提升。聚焦于檔案數(shù)據(jù)安全治理，檔案數(shù)據(jù)在集成管理、開放共享、信息倫理、安全保密等方面所面臨的各種風(fēng)險亟須社會多元主體群策群力、共同應(yīng)對。

一方面，就主體而言，新《檔案法》第三十五條分別對各級人民政府和各級各類組織機(jī)構(gòu)做出要求，規(guī)定前者“應(yīng)當(dāng)將檔案信息化納入信息化發(fā)展規(guī)劃”，保障檔案數(shù)字資源安全保存和有效利用，為檔案數(shù)據(jù)安全治理提供宏觀層面的戰(zhàn)略指導(dǎo)；強調(diào)后者“應(yīng)當(dāng)加強檔案信息化建設(shè)，并采取措施保障檔案信息安全”，做檔案數(shù)據(jù)安全治理的堅定踐行者。在鼓勵多元參與的同時，新《檔案法》對主體行為也予以嚴(yán)格規(guī)范。例如，第二十四條提出：“檔案館和機(jī)關(guān)、團(tuán)體、企業(yè)事業(yè)單位以及其他組織委托檔案整理、寄存、開發(fā)利用和數(shù)字化等服務(wù)的，應(yīng)當(dāng)與符合條件的檔案服務(wù)企業(yè)簽訂委托協(xié)議，約定服務(wù)的范圍、質(zhì)量和技術(shù)標(biāo)準(zhǔn)等內(nèi)容，并對受托方進(jìn)行監(jiān)督。”檔案數(shù)字化加工行為主體應(yīng)嚴(yán)格遵守協(xié)議并受委托方監(jiān)督，以此謹(jǐn)防實體檔案在轉(zhuǎn)換為檔案數(shù)據(jù)過程中質(zhì)量欠佳、泄密丟失、損毀破壞等安全風(fēng)險。另一方面，就客體而言，新《檔案法》第三十六條提出應(yīng)當(dāng)積極推進(jìn)電子檔案管理信息系統(tǒng)建設(shè)，與辦公自動化系統(tǒng)、業(yè)務(wù)系統(tǒng)等相互銜接；第四十一條提出推進(jìn)檔案信息資源共享服務(wù)平臺建設(shè)，兩者作為檔案數(shù)據(jù)安全治理的依托載體與平臺均需多元主體的協(xié)同共建。

（三）分級管理：關(guān)注敏感信息

分級管理作為一項基本原則，不僅貫穿于宏觀的檔案行政管理工作當(dāng)中，還影響著微觀的檔案管理業(yè)務(wù)活動。新頒布的《中華人民共和國檔案法實施條例》第五條規(guī)定：“國家檔案館館藏的永久保管檔案分一、二、三級管理，分級的具體標(biāo)準(zhǔn)和管理辦法由國家檔案主管部門制定?！比绾螀f(xié)調(diào)好檔案分級與檔案數(shù)據(jù)分級、檔案數(shù)據(jù)安全分級的關(guān)系，是檔案數(shù)據(jù)安全治理需要解決的重點問題。

分級分類保護(hù)是安全治理的基本原則?！吨腥A人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第二十一條提出“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”，《數(shù)據(jù)安全法》第二十一條規(guī)定“國家建立數(shù)據(jù)分類分級保護(hù)制度”。目前，已有部分地區(qū)、單位等嘗試制定細(xì)化的數(shù)據(jù)分級分類保護(hù)制度。例如，《上海市數(shù)據(jù)條例》（上海市人民代表大會常務(wù)委員會公告〔15屆〕第94號）根據(jù)開放類型，將公共數(shù)據(jù)劃分為無條件開放、有條件開放和非開放三類；《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》按照數(shù)據(jù)對不同主體權(quán)益的影響和重要程度，將其分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)。對檔案數(shù)據(jù)進(jìn)行分級分類，應(yīng)同時兼顧其作為檔案與數(shù)據(jù)的屬性，在雙重法律規(guī)制環(huán)境下開展此項工作。另外，對于涉及國家秘密、商業(yè)秘密、個人隱私等敏感信息的檔案數(shù)據(jù)，應(yīng)根據(jù)具體情況具體分析，以使檔案數(shù)據(jù)安全治理符合總體國家安全觀、個人信息權(quán)利保護(hù)等要求。新《檔案法》第二十條、第二十八條對此也有所提及。

三、新《檔案法》背景下檔案數(shù)據(jù)安全治理的實施路徑

（一）以研制《電子檔案管理辦法》為契機(jī)，探索檔案治理與數(shù)據(jù)治理的制度銜接

電子檔案是檔案數(shù)據(jù)安全治理的重要對象，它具有檔案與數(shù)據(jù)的雙重屬性。為推動電子檔案規(guī)范、安全管理，新《檔案法》要求國家檔案局會同有關(guān)部門制定《電子檔案管理辦法》（現(xiàn)已向社會發(fā)布征求意見稿），引入數(shù)據(jù)安全治理理念恰逢其時。就全球而言，數(shù)據(jù)安全治理大致經(jīng)歷了從“回應(yīng)式治理”到“集中治理”再到“敏捷治理”三種模式的演變。當(dāng)前，以關(guān)注政策深層價值理念、強調(diào)分層治理方式、倡導(dǎo)多元主體互動、鼓勵工具靈活運用為特點的敏捷治理模式正逐漸占據(jù)主導(dǎo)地位。[9]以該模式為指引，進(jìn)一步研制《電子檔案管理辦法》，將有利于在政策規(guī)制中實現(xiàn)檔案治理與數(shù)據(jù)治理的邏輯相洽。

首先，厘清《電子檔案管理辦法》應(yīng)貫徹的核心理念，即以數(shù)據(jù)思維為主導(dǎo)，而非將傳統(tǒng)環(huán)境下的檔案工作進(jìn)行簡單的線上復(fù)制與遷移，應(yīng)充分考慮電子檔案作為數(shù)據(jù)的特性及其管理要求；其次，明晰電子檔案在流轉(zhuǎn)過程中所涉主體及其具體職責(zé)，使得多元主體在參與檔案數(shù)據(jù)安全治理時有法可依；再次，《電子檔案管理辦法》應(yīng)將“電子檔案分級分類保護(hù)制度”納入其中；最后，配套出臺一系列針對檔案數(shù)據(jù)安全治理的指導(dǎo)方針、技術(shù)標(biāo)準(zhǔn)或行動框架等“軟法”，例如《檔案數(shù)據(jù)安全能力成熟度模型》《檔案數(shù)據(jù)安全保護(hù)技術(shù)指南》等，以進(jìn)一步推動檔案數(shù)據(jù)安全治理可落地實施。

（二）以合作邏輯為主要行為邏輯，打造檔案數(shù)據(jù)安全治理生態(tài)圈

當(dāng)前，數(shù)據(jù)安全治理的行為邏輯主要包括三種，分別為技術(shù)邏輯、規(guī)制邏輯與合作邏輯。前兩者因其特有的專業(yè)性而在一定程度上限制了治理主體多樣性，只有像高新技術(shù)企業(yè)或技術(shù)專家、政府等具有專業(yè)知識或行政權(quán)力的特定主體才可以參與數(shù)據(jù)安全治理。[10]能力與權(quán)責(zé)成為衡量不同主體是否能夠準(zhǔn)入數(shù)據(jù)安全治理的主要參考依據(jù)。合作邏輯使得技術(shù)邏輯與規(guī)制邏輯的局限性逐漸得到修正，納入廣泛主體、倡導(dǎo)協(xié)同共治是其顯著特點。這與新《檔案法》所提倡的“鼓勵社會力量參與和支持檔案事業(yè)的發(fā)展”不謀而合。

檔案工作滲透于各行各業(yè)，這決定了檔案數(shù)據(jù)來源的廣泛性與結(jié)構(gòu)的復(fù)雜性。在檔案數(shù)據(jù)采集、處理、存儲、利用、傳播等過程中，所涉主體之多不言而喻。這正為打造檔案數(shù)據(jù)安全治理生態(tài)圈提供了必要的主體條件。根據(jù)合作邏輯框架下的敏捷式元級治理結(jié)構(gòu)，一是在戰(zhàn)略指導(dǎo)層，檔案主管部門應(yīng)與數(shù)據(jù)主管部門、信息化主管部門、網(wǎng)絡(luò)和信息安全主管部門、保密主管部門等協(xié)商合作，將檔案數(shù)據(jù)安全治理納入相關(guān)重要的法規(guī)政策、工作規(guī)劃的考量范疇之中，把握其宏觀發(fā)展方向。二是在管理層，以檔案主管部門為主導(dǎo)，制定檔案數(shù)據(jù)安全治理的具體路線圖，出臺涉及檔案數(shù)據(jù)價值分析、分級分類、發(fā)現(xiàn)分布、安全風(fēng)險評估、安全策略、安全防護(hù)、安全運維等方面“軟硬兼施”的規(guī)范，為相關(guān)主體開展實踐活動提供法規(guī)依據(jù)與行動指南。三是在運營層與參與層，著眼于檔案數(shù)據(jù)形成單位與保管單位等組織機(jī)構(gòu)，以其為中心點關(guān)注內(nèi)外環(huán)境。一方面，在自身業(yè)務(wù)活動中有意識地維護(hù)檔案數(shù)據(jù)信息與載體的雙重安全，做到采集環(huán)節(jié)控制檔案數(shù)據(jù)質(zhì)量、規(guī)范采集格式與流程，存儲環(huán)節(jié)注重介質(zhì)及系統(tǒng)選擇、實施備份策略、強化監(jiān)管職責(zé)，利用環(huán)節(jié)妥善處理知識產(chǎn)權(quán)、個人隱私、涉密保密等相關(guān)問題及合理劃歸訪問權(quán)限等；另一方面，與外部伙伴合作開發(fā)安全技術(shù)、交流經(jīng)驗做法，共建安全高效的檔案數(shù)據(jù)開放共享平臺，同時培育社會公眾的檔案數(shù)據(jù)安全意識。四是在監(jiān)督層，檔案數(shù)據(jù)安全治理接受來自檔案主管部門、第三方機(jī)構(gòu)與公眾的多層監(jiān)督。例如，對檔案數(shù)據(jù)存儲傳輸系統(tǒng)及合法性進(jìn)行第三方審計等。[11]

（三）以分層治理引導(dǎo)業(yè)務(wù)模式，深化檔案數(shù)據(jù)分級分類管理

檔案數(shù)據(jù)安全治理涉及個人隱私保護(hù)、檔案數(shù)據(jù)開放共享、跨境流動、涉密管理等不同場景。不同場景中的檔案數(shù)據(jù)安全治理應(yīng)具有針對性的檔案數(shù)據(jù)分級分類保護(hù)制度。根據(jù)檔案數(shù)據(jù)的保密程度、敏感程度、可開放程度、涉及面廣度等，對其進(jìn)行分級分類，通過訪問控制技術(shù)、隱私保護(hù)技術(shù)等維護(hù)檔案數(shù)據(jù)安全。

針對不同類型、不同級別檔案數(shù)據(jù)的開放流通，應(yīng)相應(yīng)選擇涉密網(wǎng)、內(nèi)網(wǎng)或外網(wǎng)，三者之間實行物理隔離，以減少被外界破壞與攻擊的風(fēng)險，從而保證檔案數(shù)據(jù)安全。另外，《網(wǎng)絡(luò)安全法》第二十一條提出，“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)”。據(jù)此，2020年公安部研究制定并印發(fā)《貫徹落實網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》，檔案數(shù)據(jù)網(wǎng)絡(luò)運營者應(yīng)積極開展定級備案工作，定期進(jìn)行網(wǎng)絡(luò)安全等級測評。一經(jīng)有檔案數(shù)據(jù)網(wǎng)絡(luò)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施，就應(yīng)對其進(jìn)行重點保護(hù)。

四、結(jié)語

新《檔案法》為我國檔案數(shù)據(jù)安全治理提供了堅實的法治保障。檔案部門應(yīng)以新《檔案法》為依據(jù)和指引，兼顧《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)要求，及時發(fā)現(xiàn)、梳理、評估檔案數(shù)據(jù)安全風(fēng)險，通過“集成化”“協(xié)同化”“知識化”等手段保障檔案數(shù)據(jù)安全質(zhì)量，[12]維護(hù)國家安全、組織利益和個人權(quán)益。唯有于此，我國檔案事業(yè)發(fā)展才能緊跟大數(shù)據(jù)時代洪流，充分發(fā)揮檔案數(shù)據(jù)的應(yīng)有價值。

*本文系中國人民大學(xué)2022年度拔尖創(chuàng)新人才培育資助計劃成果、國家社科基金青年項目“互聯(lián)網(wǎng)平臺型企業(yè)檔案監(jiān)管模式與路徑研究”（項目編號：23CTQ036）階段性研究成果。

注釋及參考文獻(xiàn)：

[1][2]金波，添志鵬.檔案數(shù)據(jù)內(nèi)涵與特征探析[J].檔案學(xué)通訊，2020（3）：4-11.

[3]中華人民共和國國家檔案局.中辦國辦印發(fā)《“十四五”全國檔案事業(yè)發(fā)展規(guī)劃》[EB/OL].（2021-06-09）[2024-01-05].https：//www.saac.gov.cn/daj/toutiao/ 202106/ecca2de5bce44a0eb55c890762868683.shtml.

[4]金波，楊鵬，宋飛.檔案數(shù)據(jù)化與數(shù)據(jù)檔案化：檔案數(shù)據(jù)內(nèi)涵的雙維透視[J].圖書情報工作，2023，67（12）：3-14.

[5]Business Today. Data of millions of Dr Lal PathLabs patients exposed， including address， phone numbers，emailids[EB/OL].（2020-10-09）[2024-01-09]. https ：//www.businesstoday.in/latest/corporate/ story/data- of- millions- of- dr- lal- pathlabs- pa？ tients-exposed-for-around-a-year-275306-2020-10-09.

[6][11]金波，楊鵬.大數(shù)據(jù)時代檔案數(shù)據(jù)安全治理策略探析[J].情報科學(xué)，2020，38（9）：30-35.

[7]中國（中關(guān)村）網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會.數(shù)據(jù)安全治理白皮書3.0[EB/OL]. [ 2024-01-10]. http： //app.myzaker.com/ news/article.php？pk=60a88de0b15ec050c031effd.

[8]徐擁軍，熊文景.檔案治理現(xiàn)代化：理論內(nèi)涵、價值追求和實踐路徑[J].檔案學(xué)研究，2019（6）：12-18.

[9][10]范玉吉，張瀟.數(shù)據(jù)安全治理的模式變遷、選擇與進(jìn)路[J].電子政務(wù)，2022（4）：114-124.

[12]張夏子鈺，周林興.大數(shù)據(jù)時代檔案數(shù)據(jù)質(zhì)量：評估與優(yōu)化[J].北京檔案，2023（5）：15-18.

作者單位：1.中國人民大學(xué)信息資源管理學(xué)院2.北京東方明德科技發(fā)展有限公司